Добрый день, у меня такая задача, называется аудит доступа к

журналу событий, ну то есть практически - если кто то задумает в event viwer очистить журнал Security, то чтобы записалось кто это сделал и когда

я правильно понимаю, что мне надо лезть в свойства файла какого нибуть C:\Windows\System32\winevt\Logs\Security.evtx, и там включать его аудит?
и что там надо нащелкать все галочки чтобы писались все события по этому файлу?
и куда это запишется, если журнал Security всё же удалят? )

7 ответов

22 просмотра

не ответ на твой вопрос, но по последнему пункту - если кто-то удалит логи на твоём хосте, значит у него уже есть достаточные права на модификацию всего локального. Поэтому тут стоить думать в первую очередь про отправку логов на другой сервер

Вроде есть отдельное событие для этого

­- Автор вопроса
mad3e7cat
Вроде есть отдельное событие для этого

его надо включать где то отдельно, или по умолчанию запись работает ?

Сам по себе аудит такой бесполезен, ибо хакеры при горизонтальном перемещении юзают краденные учетки админов. Лучше не фиксировать факт очистки журнала, а сделать такую очистку бесполезной. Например, можно делать бэкапы журналов или же сами события форвардить на SIEM.

­- Автор вопроса
Askar
Сам по себе аудит такой бесполезен, ибо хакеры при...

это в планах на будущее, в том числе закупка SIEM, пока вот такая задача

­
это в планах на будущее, в том числе закупка SIEM,...

Тогда попробуйте на своей машине очистить журнал и посмотрите отлогировалось ли событие. Также проверьте, чтобы журналировалось достаточное количество событий, ибо я встречал такое, что из-за переполнения журнала сохранялись события лишь за последние 4 часа. В этом случае хакеру ничего делать и не нужно 😊

­- Автор вопроса
Askar
Тогда попробуйте на своей машине очистить журнал и...

в проекте есть и увеличение размера журнала, да

Похожие вопросы

Обсуждают сегодня

33 вопроса о веб-уязвимостях для подготовки к собеседованию. Сложность — средняя, некоторые вопросы с подвохом. Если смогли ответить на большую часть без подсказок, — можете с...
Raymond E 👁‍🗨
2
Hack Time друзья, Миф на связи.🤘 Посмотрел выступление коллег с PHdays по ChatGPT по использованию в безопасности. Ну что сказать не хочу обижать коллег, но я мягко сказать ...
Сергей Бут
2
сеть починить, хакера найти, политику ИБ написать?
N B
22
Если скрипт запускается по шедулеру и ходит в базу за информацией, как защитить пароль? Пароль хардкодиться в код, хуле делать. Какие варианты?
Pompilius Ciceron
19
CVE-2023-20198 BDU:2023-06875 Уязвимость веб-интерфейса операционной системы Cisco IOS XE связана с ошибками при управлении привилегиями. Эксплуатация уязвимости может позвол...
Octavianus Augustus
1
ребят, скажем, у вас один единственный девайс — смартфон. пользуетесь vpn и всеми основными службами (Google, Microsoft и т.д.) + средой производителя телефона (аля samsung ga...
Merlin
13
Какой роутер лучше взять? Безопасный и стабильный роутер для домашнего использования. Не игрового. 500 мбит скорость дома. Выбираю между asus RT-AX86U GL.iNet Flint GL-AX1800
­­ ­­
15
Исчезли некоторые важные файлы на втором жёстком диске. Один компьютер, три жёстких диска. В двух из них установлена ОСь Window 10, а третий используется как общее хранилище. ...
Zer0 Eye
43
Привет всем. Мне 14 лет, я изучаю программирования уже год, решил прийти на более серьезные вещи:), С чего посоветуете начать новичку?
ام عبدالله
15
#СтруктураМомента: арест основателя Group-IB – бой войны между ЦИБ ФСБ и Управлением "К" МВД РФ, обострившейся ввиду ИТ-части Женевской сделки. Наши с вами друзья на Лубянке ...
Гарик ♠️
3
Карта сайта